Aggiornamenti recenti Agosto 22nd, 2025 2:30 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Prompt injection nelle immagini: l’image scaling trasforma un JPEG in un esfiltratore
- Static Tundra sfrutta una vecchia vulnerabilità Cisco per spionaggio
- Lenovo, il chatbot AI “Lena” era troppo loquace
- PyPI blocca i “domain resurrection”: disattivate 1.800 email
- CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora sotto attacco
Attacchi alle aziende: boom di malware residenti in memoria
I pirati informatici utilizzano strumenti comuni che non lasciano tracce sugli hard disk. I ricercatori Kaspersky: “oltre 140 aziende prese di mira”.
La costante crescita di attacchi mirati nei confronti di grandi aziende ed enti finanziari si sta accompagnando, a quanto riferiscono i ricercatori di Kaspersky, a un’evoluzione delle tecniche utilizzate.
Come spiega il Global Research and Analysis Team (GReAT) dell’azienda russa sul blog ufficiale, il salto di qualità sembra prendere ispirazione dalle strategie utilizzate nel passato recente da malware come Stuxnet o Duqu 2.0, che sfruttavano componenti residenti in memoria allo scopo di lasciare pochissime tracce sui supporti fisici e renderne più difficile l’individuazione.
I casi citati, però, riguardano trojan sviluppati da professionisti dello spionaggio legati ai servizi segreti. Ora sembra che le stesse tecniche siano diventate patrimonio anche di più comuni cyber-criminali.
Il primo caso è stato rilevato in un attacco a una banca, ne confronti della quale i pirati informatici hanno utilizzato tecniche di offuscamento che gli hanno permesso di evitare il rilevamento delle loro attività, fino a quando i responsabili IT non hanno individuato un componente sospetto (Meterpreter) residente nella memoria di un domain control Windows.
Le indagini seguenti hanno permesso ai ricercatori Kaspersky di ricostruire il modus operandi dei pirati che hanno portato l’attacco, individuandone le caratteristiche fondamentali: i cyber-criminali, in particolare, sembrano utilizzare comandi PowerShell per avviare il download e l’esecuzione in memoria degli strumenti di hacking.
Lo schema di attacco come viene ricostruito dai ricercatori del GReAT. Gli strumenti utilizzati lasciano tracce solo nella RAM e sul registro di sistema delle macchine colpite.
In questo modo le loro attività possono essere rilevate solo eseguendo un controllo della RAM o, in alternativa, individuandole all’interno del network.
Cosa non facile, visto che anche sotto il profilo delle comunicazioni in rete, il gruppo responsabile dell’attacco ha messo in campo tecniche di offuscamento particolarmente efficaci e, in particolare, un sistema di tunneling delle comunicazioni verso i server Command and Control.
Anche in questo caso, però, i pirati sono stati ben attenti a utilizzare strumenti comuni e che non dessero troppo nell’occhio come la Windows network shell (NETSH) che gli ha consentito di mascherare le comunicazioni in maniera estremamente efficace.
Tanto più che per ospitare i loro server, i pirati hanno utilizzato domini di terzo livello che non permettono di ottenere informazioni riguardanti i loro gestori una volta che è scaduta la registrazione.
In sintesi, sembra che la preoccupazione maggiore in questo tipo di attacchi sia quello di rendere difficile l’attività di forensica e l’attribuzione degli attacchi.
Anche l’arsenale di script utilizzato per l’attacco, per esempio, è stato generato utilizzando il Metasploit framework, uno strumento ben conosciuto per lo sviluppo e l’esecuzione di exploit che fornisce ben pochi indizi sugli autori dell’attacco, mentre la sottrazione delle password hanno utilizzato Mimikatz, un altro strumento disponibile su GitHub.
Secondo i ricercatori Kaspersky questo tipo di attacchi starebbero diventando sempre più frequenti e avrebbero interessato più di 140 aziende in 40 paesi diversi. Curiosamente, le statistiche riportate dall’azienda non riportano alcun caso in Italia.
Condividi l'articolo
Falla in WordPress, ora è panico: 1,5 milioni di siti colpiti
76 app per iOS intercettabili. “Falla nella crittografia TLS”
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Prompt injection nelle immagini: l’image scaling... Un’immagine apparentemente innocua, inviata a un... -
Static Tundra sfrutta una vecchia vulnerabilità Cisco per... Un gruppo di cyber spionaggio legato ai servizi segreti... -
Lenovo, il chatbot AI “Lena” era troppo loquace Il chatbot di assistenza clienti di Lenovo, chiamato Lena,... -
PyPI blocca i “domain resurrection”: disattivate 1.800... Il team di sicurezza della Python Software Foundation,... -
CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora... Nel corso di questa settimana il CERT-AGID ha rilevato
Ransomware: la serie
No posts found.